보안 체크박스 점검에서 프레임웍 관점으로 전환

컴플라이언스 요건 충족에 머무르지 않고 리스크 기반 사이버 보안 프로그램으로

발전하기 위한 CISO 인사이트

IBM Center Applied Insights

ibm.com/ibmcai | ibmcai.com

2 From checkboxes to frameworks: CISO insights on moving from compliance to risk-based cybersecurity programs

사이버 보안 리스크는 거대한 위협으로서

기업의 최고 경영진이 높은 관심을 가지고

있는 사안입니다. 이러한 중대성을 반영하듯

보안에 대한 투자 또한 늘고 있습니다.

보안 리더들은 단순히 컴플라이언스 요건을

충족하는 "체크박스 점검 방식"으로는

역부족임을 깨닫고 있습니다. 더 성숙한

기업에서는 보다 정교한 방식으로 리스크를

평가하고 보안 투자의 우선 순위를 결정하는

혁신을 통해 진정한 리스크 기반의 보안

전략을 지향하고 있습니다.

IBM Center Applied Insights

3

사이버 보안 리스크는 모든 기업에게 가장 중대한 위협입니

다. 이 리스크의 관리가 최고 경영진의 최우선 과제가 되었

으며 그 중요성을 반영하듯 보안에 대한 투자가 증가하고 있

습니다. 하지만 이와 같은 관심의 증폭에도 불구하고 보안 사

고에 대한 뉴스가 더욱 늘어나자 많은 최고 정보 보안 책임

자(Chief Information Security Officer, CISO) 및 그 밖의

보안 리더는 근본적인 목표와 가정을 다시 돌아보게 되었습

니다. 보안 리더들은 효과적으로 리스크 관리를 규정하고

적용하기 위한 각자의 프로그램 및 베스트 프랙티스를 개선

하고 변화시킬 근본적인 방법을 새롭게 모색하고 있습니다.

본 IBM Center for Applied Insights 보고서는 IBM의 의뢰로

서던메소디스트대학교(Southern Methodist University)에서 실

시한 "기업의 사이버 보안 투자 관리 실태 조사(Identifying

How Firms Manage Cybersecurity Investment)" 결과를 바탕

으로 하여 CISO들이 전 세계적으로 확산된 근본적인 문제,

즉 리스크를 기반으로 한 비즈니스 결과가 아닌 컴플라이언

스 중심적인 프로그램의 문제를 본격적으로 해결하고자, 어

떻게 사이버 보안 활동을 발전시키고 있는지 조명합니다.1 요

컨대 이제 CISO들은 컴플라이언스만으로는 성공적으로 조

직을 관리할 수 없음을 잘 알고 있습니다.

어떻게 컴플라이언스 기반의 보안 프로

그램을 리스크 중심의 프로그램으로 변

화시킬 것인가?

조직에 리스크를 알리고 기대를 관리할

수 있는 가장 효과적인 방법은 무엇인가?

적합한 제어 기능을 구현하기 위한 기술

력, 자원, 수단이 있는가?

CISO들은 이러한 물음에 대한 답을 얻고자 더 정교한 방법

으로 위협을 평가하고 우선 순위에 따라 보안 이니셔티브에

투자하기 시작했습니다. 실제 사이버 보안 리스크에 주력하

는 조직으로 거듭나고자 맞춤형 프레임웍을 전략적 수단으

로 활용하는 보안 리더가 늘고 있습니다.

연구 소개

본 IBM Center for Applied Insights 보고서는 IBM의 의뢰로 텍

사스 댈러스 소재 서던메소디스트대학교 라일 공과대학 산하 다

윈 디슨 사이버 보안 연구소(Darwin Deason Institute for Cyber

Security)에서 실시한 "기업의 사이버 보안 투자 관리 실태 조사

"를 기반으로 작성되었습니다. 연구 팀은 금융서비스, 의료, 소

매, 정부/공공 분야에 중점을 두고 다양한 업종의 경영자 수십

명을 대상으로 설문 조사를 진행했습니다.

준구조적(semi-structured) 심층 인터뷰를 통해 대표적인 사이

버 보안 리스크, 리스크 판정 방식, 조직 차원의 사이버 보안 이

니셔티브 지원, 투자의 우선 순위 결정 방식을 살펴봤습니다.

IBM Center for Applied Insights 소개

ibm.com/ibmcai | ibmcai.com

IBM Center for Applied Insights는 사고하고 일하며 리더십을

발휘할 새로운 방식을 제시합니다. 증거 기반의 연구 조사를 통

해 리더에게 실용적 지침 및 변화의 사례를 소개합니다.

4 보안 체크박스 점검에서 프레임웍 관점으로 전환

CISO의 과제

전략에 초점

지금까지는 베스트 프랙티스 및 업계에서 통용되는 기술을

적용하여 컴플라이언스 요건을 충족하는 방향으로 사이버

보안에 대한 투자가 결정되곤 했습니다. 이른바 기본적인 요

건을 해결하는 "체크박스(Check Box)" 방식이었습니다.

CISO는 해당 조직의 주요 리스크 요인을 제대로 해결했는지

여부를 판단하는 데 업계 베스트 프랙티스를 벤치마크로 삼

았습니다. 다른 CISO들이 뭔가를 한다면 자신도 따라야 했

습니다. 규정 요건을 충족했다면 체크박스에 표시할 수 있습

니다. CISO의 고민은 컴플라이언스 위주의 방식이 기업에서

실제로 겪는 보안 리스크를 해결하지 못할 때가 많다는 것입

니다.

우선 순위 커뮤니케이션

조직 전반의 경영진 대다수가 사이버 보안의 중요성을 인식

하고 있으나 CISO는 최고 경영진이 이해할 수 있는 언어로

전략 및 기술적 요구사항을 전달해야 합니다.

사실 많은 기업들이 보안을 필요한 비즈니스 비용으로 간주

하고 있기 때문에 CISO들은 보안 프로젝트의 ROI 입증이 어

려울 때가 많다는 것을 절감합니다. 하지만 구체적 지표

(Metrics)는 사이버 보안 전략을 위해 진행되는 특정 이니셔

티브에 대한 지지를 확보하는 데 큰 역할을 합니다.

실행력 있는 사이버 보안 전략 수립

최고 경영진의 더 큰 관심사가 사이버 보안 이니셔티브에 투

자할지 여부가 아니라 보안 팀이 조직을 뒷받침할 수많은 프

로젝트를 제대로 관리하고 제어 기능을 구현할 능력이 있는

지 여부일 때가 많습니다.

이와 관련된 문제 중 하나는 사이버 보안 전략이 실행력을

갖지 못할 때도 있다는 것입니다. 명확한 구현 계획을 수립

하고 적합한 솔루션을 선택하고 업무에 차질을 빚지 않을 구

축 일정을 마련하려면 여러 중요한 요소를 다뤄야 합니다.

CISO는 구체적인 작업에 적합한 기술력을 확보하는 데 어려

움을 겪습니다. 기술적 지식과 비즈니스 식견을 골고루 갖춘

인재가 필요합니다. 또한 보안 리더는 최신 시장 동향, 업계

베스트 프랙티스, 새로운 보안 제품 출시 소식에도 계속 관

심을 기울여야 합니다.

"우수한 컴플라이언스가 우수한

보안을 의미하지는 않습니다." — 정부 공공 기관 CISO

88% 의 CISO가 보안 예산이 증액되었다고 밝

혔습니다.

IBM Center Applied Insights

5

오늘날 CISO의 3대 과제

전략에 초점

"컴플라이언스 논의는 늘 마지막 단계에 하는 편입니다. 확인에 필요한 최소 요건을 갖춘 프로그램들이 너무 많기 때문입니다.”

— 리테일 CISO

우선 순위 커뮤니케이션

"최고 경영진은 자신이

이해할 수 있는 언어,

프로젝트, 금액으로

보안 전략을

설명해주길 원합니다." — 리테일 CISO

실행력 있는 사이버 보안

전략 수립

"프로그램 기획이

진행되지 않고 서랍 속에

있다면 아무리 좋은 툴이

있어도 소용 없습니다." — 금융서비스 CISO

전략 커뮤니케이션

실행력

6 보안 체크박스 점검에서 프레임웍 관점으로 전환

리스크 기반의 프레임웍으로 사이버 보안 전략

설명 및 이행

CISO가 전략, 커뮤니케이션, 이행의 과제를 해결하기 위해

맞춤형 프레임웍을 사용하여 공식적인 사이버 보안 모델을

규정하는 경우가 늘고 있습니다.

리스크 기반의 프레임웍에서는 시스템, 애플리케이션, 데이

터를 보호하기 위한 기준, 베스트 프랙티스, 지침을 제시합

니다. 현재 사용 중인 프레임웍은 널리 보급된 NIST, ISO2700,

COBIT부터 기업의 요구사항에 따라 맞춤 구성된 하이브리

드 유형까지 다양합니다. 리스크를 평가하고 위협의 우선 순

위를 결정하고 투자를 보호하고 가장 시급한 보안 이니셔티

브의 진행 상황을 알리기 위한 전략적 수단으로 프레임웍이

각광받고 있습니다.

실효성 있는 정책 수립

한 금융 서비스 기관의 CISO는 명확한 "3중 방어 체계" 전

략을 구사합니다. 즉 조직의 운영 전반을 관장하는 COO의

지휘 아래 CIO가 리스크 관련 정책을 수립하거나 요구사항

을 결정하고 CISO는 그 정책의 현실적인 이행, 즉 어떻게

수행할 것인가를 맡습니다. 여기서 전략을 다루는 "원칙에

기초한" 정책과 전략의 이행 방법을 다루는 "실효성 있는

정책"이 구별됩니다.

이러한 방법으로 CISO는 실효성 있는 정책을 수립하고 조

직을 실제로 위협하는 근본적인 문제를 해결할 제어 기능

에 투자할 수 있습니다. 또한 사내 요청이 아닌 고객의 기

대 사항에 따른 투자가 가능해졌습니다. 보안 제어 기능을

단계적으로 구현하므로 비즈니스에 어떤 지장도 주지 않으

며 전반적인 보안에서 긍정적 효과를 얻습니다.

전략적 우선 순위 결정 방식 중에서 선두에 오른 프레임웍

프레임웍

자사의 과거 공격

사례

정량적 지표

타사의 과거 공격

사례

이사회 조언

비용-가치 평가

동료들의 방법

직감

#1로 선정

#2로 선정

#3으로 선정

업계 베스트 프랙

티스

IBM Center Applied Insights

7

컴플라이언스에 머무르지 않고

리스크 기반 전략 추구

인터뷰에 참여한 CISO 중 상당수는 지금까지 보안 컴플라이

언스에 중점을 두면서 요건을 충족하기는 했으나 잠재적 보

안 사고에 대한 최상의 대비가 이루어지지 않았음을 인정했

습니다.

이와 달리 프레임웍은 더 우수한 리스크 평가 모델을 제공하

므로 더 철저하고 일관성 있게 보안 과제를 평가하고 취약점

을 파악할 수 있습니다. 대부분의 프레임웍이 비즈니스 자산,

프로세스, 취약점, 개연성의 요소를 포함하지만 CISO들은 각

자의 환경에 따라 맞춤 구성하는 데 따른 실질적인 가치에

주목합니다. 이와 같은 맞춤화는 프레임웍이 단순히 좀 더 나

은 체크박스가 되지 않게 합니다.

자체적으로 사이버 리스크 프레임웍을 개발하는 기업은 현

재 직면하는 리스크를 더 면밀하게 파악할 가능성이 높습니

다. 대개의 경우 NIST, COBIT 등과 같은 기존 프레임웍의 구

성 요소를 기초로 하여 전사적 차원의 기준을 알리는 데 사

용할 최적의 맞춤형 프레임웍을 만듭니다.

사이버 보안 구현을 위한 워크북

한 데이터 관리 회사의 보안 컴플라이언스 담당 VP는 사이

버 보안 전략의 실제 이행보다는 사이버 보안 리스크 평가

에 주력하는 남다른 방식을 택했습니다. 그의 팀은 보호할

시스템 각각의 특성을 정의하는 프로젝트 워크북을 만듭니

다. 그런 다음 보안 VP가 이 워크북에 제시된 방식대로 구

현합니다.

그는 지속적인 테스트의 가치를 강조합니다. "요컨대 이메

일, 인터넷, 무엇이든 안전하다고 생각하지 않습니다." 그는

자신의 침투 테스트 경험을 살려 외부 위치에서 대외용 애

플리케이션을 계속 테스트하고 제로데이 시나리오를 다루

기 위한 제어 기능도 완비합니다. 보안 팀은 민첩성을 확보

함으로써 신속하게 대처하고 회사를 보호할 수 있습니다.

"보안 팀은 '지금 각광받는 차세대

보안 기술이므로 도입해야 한다'는

주장을 하기 보다, 어떤 사고에

기초한 설득력 있는 스토리로 자신의

관점을 전달할 기본적인 능력을

갖춰야 합니다." —소매 CISO

전략적 사이버 보안 프로그램의 5가지 핵심 요소

비즈니스

우선 순위, 자산,

프로세스 고려

공식적인 사이버

보안 전략, 목표,

목적 문서화

공식적인 리스크

관리 제어

프레임웍 정의

각각의 제 기능에서

현재 상태와 목표

상태의 격차 평가 및

우선 순위 결정

우선 순위에 따른

제어 기능 격차를

해결, 모니터링,

재평가할 계획 수립

8 보안 체크박스 점검에서 프레임웍 관점으로 전환

최고 경영진과의 협업 활성화

프레임웍은 효과적인 커뮤니케이션 수단이기도 합니다. 즉

CISO가 최고 경영진에게 사이버 보안 전략을 소개하고 지지

를 확보하는 데 유용합니다. CISO의 85%는 사이버 보안 활

동에 대한 고위 경영진의 지지가 증가했고 88%는 보안 예산

이 증액되었다고 밝혔습니다.

그러나 자신과 다른 기업의 CISO들이 보안 이니셔티브에 적

정 금액을 지출한다고 생각하냐는 질문에 절반 이상의 CISO

가 너무 적은 수준이라고 답했습니다. 설문 조사에서 적정 금

액을 사용한다고 밝힌 CISO의 1/4이 프레임웍을 전략적 수단

으로 사용한다는 사실에 주목할 필요가 있습니다.

85% 의 CISO는 사이버 보안 활동에 대한 고위

경영진의 지지가 강화되었다고 밝혔습니

다.

사이버 방어 체계의 라이프사이클 관리

한 금융서비스 기관의 CISO는 비즈니스 우선 과제 해결을

위해 목표화된 프레임웍 방식을 선택했습니다. 그는 NIST,

ISO, SANS를 사용하여 자신의 회사에 대한 공격을 처리하

기 위한 맞춤형 프레임웍을 개발했습니다.

이 프레임웍은 금융 정보 유출, 금융 계정 손상, 비즈니스

연속성, 규정 준수 리스크와 같은 핵심 리스크에 중점을 둡

니다. 또한 핵티비즘, 조직 범죄 등 대표적인 위협 요소를

식별했습니다.

그런 다음 사이버 방어의 라이프사이클 전반을 포괄하는 다

양한 툴을 사용하고 조정하면서 가장 대표적인 리스크에 대

한 단계별 보호 구현 계획을 마련하여 어떤 하나의 툴에 오

류가 발생하더라도 비즈니스 연속성을 보장할 수 있게 했

습니다. 동료 CISO 네트워크를 투자 결정의 길잡이로 삼지

않고 실리콘밸리 벤처캐피탈 커뮤니티를 활용하여 회사의

보안 문제를 해결할 획기적인 새로운 툴에 대한 정보를 얻

었습니다.

"우리 모두 앞다투어 사이버 보안

투자에 나섰고 여기서 손을 떼거나

타협할 방법은 없는 것 같습니다.

위협에 대응할 수 밖에 없습니다." — 금융서비스 CISO

IBM Center Applied Insights

9

프레임웍 기반의 사이버

보안 인사이트 적용

새로운 전략적 프레임웍에서 인사이트를 얻은 CISO는 사이

버 보안 투자에서 무엇을 우선적으로 고려할까요? 기본적 보

안 목표를 달성하기 위한 "체감 리스크 감소" 및 "컴플라이

언스"가 여전히 상위에 있습니다. 컴플라이언스 요건이 보안

예산에서 큰 부분을 차지합니다. 그러나 프레임웍 방식으로

평가되는 체감 리스크 감소는 다른 보안 이니셔티브에 대한

투자를 활성화하는 데 기여합니다.

그러나 보안 프로젝트의 재원을 확보하더라도 많은 CISO가

구현상의 어려움에 직면합니다. 특히 적합한 기술력 확보에

서 난관에 봉착합니다. 일부 CISO는 보안 팀이 승인된 보안

투자를 제대로 처리하고 예산을 집행할 능력이 없다는 우려

때문에 최고 경영진이 예산 요청을 보류했음을 알게 되었습

니다. 이러한 인재난 때문에 많은 CISO는 외부 업체를 고용

하여 기술력 틈새를 보완하고 내부 팀을 교육하는 멘토링까

지 맡기고 있습니다.

IBM Center for Applied Insights의 최근 연구, "보안 문제 해

결사 육성: 미래를 대비하는 교육의 관점(Shaping security

problem solvers: Academic insights to fortify for the

future)"에서도 늘어나는 조직의 요구사항을 해결하기 위해

적합한 보안 기술력을 강화할 필요성을 강조합니다.2 현재

교육 기관의 보안 프로그램에서는 기술 및 비즈니스 전문성

을 갖추고 IT와 비즈니스의 사이에서 조정자 역할을 하면서

사이버 보안 프로그램 관리에 필수적인 예측 및 행동 분석

기능을 제공할 다재다능한 인재를 육성하고 있습니다.

"사이버 보안의 최신 루틴을

가르치기보다는 변화하는 환경에

적응할 수 있도록 새로운 기술력을

개발할 수 있느냐가 관건입니다."

—미국의 정보 보안 관리 전공 부교수

리스크 완화를 위한 투자를 활성화하는 프레임웍의 역할

체감 리스크 감소

컴플라이언스

#1로 선정

#2로 선정

#3으로 선정

경쟁 우위

업계 베스트

프랙티스

고객 요구 사항

전반적인

프로세스 개선

비용 절감

10 보안 체크박스 점검에서 프레임웍 관점으로 전환

CISO는 리스크를 평가하거나 위협을 파악하거나 사이버 보

안 전략을 지원할 적합한 툴을 결정하는 데 동료 CISO 네트

웍과 외주기관 정보에 크게 의존합니다. 어떤 CISO는 써드

파티 보안 위협 인텔리전스의 데이터 피드를 활용하는 것이

보안 위협에 대한 가시성을 높이는 데 효과적이라고 생각하

는데, 이와 달리 DLP(Data-Loss Prevention) 기술에 의존하

는 CISO도 있습니다. 이와 같이 다양한 의견이 있지만 85%

의 CISO가 해당 조직에 적합한 보안 솔루션을 선택하는 데

필요한 정보를 충분히 확보했다고 밝혔습니다.

85% 의 CISO는 보안 솔루션을 선택하는 데 적

합한 정보를 갖고 있다고 응답했습니다.

사이버 보안 전략의 획기적인 발전 몰랐다는 것은 이유가 되지 못하므로 모든 CISO가 보안의 사

각 지대에 대해 우려하고 있습니다. 하지만, 프레임웍을 하나

의 프로세스로 활용한다면 더 효과적으로 대비할 수 있으며

올바른 제어 기능이 갖춰져 기업을 보호하고 있다는 확신을

심어줄 수 있습니다. 사이버 보안 리더는 업계 표준을 바탕으

로 각자 맞춤형 프레임웍을 개발하고 외주기관 인텔리전스

및 동료 네트웍의 의견으로 이를 보완함으로써 기업이 현실

적으로 겪는 리스크에 맞서고 있습니다. 또한 프레임웍 자체

가 경영진의 리스크 인식 및 보안 투자의 우선 순위 결정에

핵심적인 판단 체계의 역할을 하고 있습니다.

사이버 보안 프로그램의 발전적 방향

컴플라이언스에 머무르지 않고

리스크 기반 전략 추구

사이버 보안 우선 과제를 중심으로

조직의 실제 리스크를 전략적으로

평가할 수 있도록 맞춤형 프레임웍

구성

최고 경영진과의 협업 활성화

이해 관계자에게 더 효용성 있게

사이버 보안 전략을 전달하여 지지를

확보할 수 있도록 프레임웍을 효과적인

커뮤니케이션 수단으로 활용

Develop Direct

Deliver

프레임웍 기반의 사이버 보안

인사이트 적용

적합한 기술력, 외주기관 인텔리전스,

업계 베스트 프랙티스를 접목시켜

프레임웍에서 제시하는 방향 실천

저자 소개

Bob Kalka는 IBM Security VP으로서, IBM 글로벌 기술 영업,

전략 어카운트, 교육 프로그램을 맡고 있습니다. 그는 제품

관리, 영업, 사업 개발, 마케팅 관리, 제품 개발 분야에서 리

더로서 다양한 역할을 수행했습니다. Bob은 ISACA 공인

CRISC(Certified in Risk and Information Systems Control)

및 ITIL 인증 자격을 취득했습니다. 또한 보안 분산 컴퓨팅 소

프트웨어 관련 미국 특허를 보유하고 있으며, 이메일 주소는

bkalka@us.ibm.com입니다.

Cynthya Peranandam은 IBM Center for Applied Insights의

대표 컨설턴트로서 전략적 대화를 위한 데이터 중심적 사고

의 리더십을 담당하고 있습니다. 그녀는 IBM Social Business

솔루션 및 IBM 프라이빗 클라우드 플랫폼의 마케팅 전략을

지휘한 바 있습니다. Cynthya는 디지털 스펙트럼의 전 범위

에서 고객들과 함께 일했고 IBM 얼리 어답터 프로그램을 통

한 신기술 도입 및 상용화를 이끌었습니다. 그녀의 이메일 주

소는 cynthya@us.ibm.com, Twitter는 @cperanandam입니다.

센터 블로그에서도 글을 읽으실 수 있습니다.

도움 주신 분들

David Jarvis

Caleb Barlow

Sue Ann Wright

Ellen Cornillon

Laura DeLallo

Angie Casey

Walker Harrison

ⓒ Copyright IBM Corporation 2015.

한국아이비엠주식회사

(07326) 서울시 영등포구 국제금융로10 서울국제금융센터 (Three IFC)

TEL : (02) 3781-7800 www.ibm.com/kr

2015년 10월

Printed in Korea

All Rights Reserved

IBM, IBM 로고 및 ibm.com은 미국 또는 기타 국가에서 사용되는

International Business Machines Corporation의 상표입니다. 이와 함께 기

타 IBM 상표가 기재된 용어가 상표 기호(® 또는 TM)와 함께 이 정보에 처

음 표시된 경우, 이와 같은 기호는 이 정보를 발행할 때 미국에서 IBM이

소유한 등록상표 또는 일반 법적 상표입니다. 또한 이러한 상표는 기타 국

가에서 등록상표 또는 일반 법적 상표입니다. 기타 회사, 제품 및 서비스

이름은 타사의 상표 또는 서비스표입니다. 현재 IBM 상표 목록은 웹 "저

작권 및 상표 정보"(ibm.com/legal/copytrade.shtml)에 있습니다.

이 문서는 최초 발행일을 기준으로 하며, 통지 없이 언제든지 변경될 수

있습니다. IBM이 영업하는 모든 국가에서 모든 오퍼링이 제공되는 것은

아닙니다.

이 문서의 정보는 상품성, 특정 목적에의 적합성에 대한 보증 및 타인의

권리 비침해에 대한 보증이나 조건을 포함하여(단, 이에 한하지 않음)

명시적이든 묵시적이든 일체의 보증 없이 "현상태대로" 제공됩니다. IBM

제품에 대한 보증은 제품의 준거 계약 조항에 의거하여 제공됩니다.

재활용하십시오

1 "Identifying How Firms Manage Cybersecurity Investment," Southern

Methodist University, 2015년 10월, http://bit.ly/CISO-cybersecurity-

investment 2 Jarvis, David. Shaping security problem solvers: Academic insights to

fortify for the future, IBM Center for Applied Insights, 2015,

http://bit.ly/academic- insights-on-cybersecurity

본 보고서에 소개된 조사 결과는 SMU 다윈 디슨 사이버 보안 연구소에

서 보증하는 것으로 간주할 수 없습니다. 다윈 디슨 사이버 보안 연구소

는 본 보고서에 제시된 의견에 동의하지도 반대하지도 않습니다.

WGL03092-KRKO-00